• Welcome to My Website

    This is a text box. Write your own content here. This is an excellent place for you to add a paragraph.


    This is a Button





Knowledge Base Linux Hosting ความปลอดภัยของ Website
Posted in (Primary)ความปลอดภัยของ Website,

ตั้งค่า Security Headers โดเมน ให้ได้ A หรือ A+ จาก F

Updated at 2022-01-13 07:35:36
by Netway Admin

ปัญหา

     ปัจจุบัน เว็บบราวเซอร์ต่าง ๆ ได้เพิ่มมาตรการป้องกันด้านความปลอดภัยเพิ่มมากขึ้น หนึ่งในมาตราการนั้นก็คือการรองรับ Security Headers ต่าง ๆ ที่ส่งมาจากเว็บเซิร์ฟเวอร์ โดยปกติจะใช้บอกข้อมูลทางเทคนิค เช่น บราวเซอร์แสดงผลหน้าเว็บของเราภายใน frame จากเว็บไซต์อื่นได้หรือไม่ครับ, เบราเซอร์ควรแคชเนื้อหา, ประเภทของเนื้อหาคืออะไร, ซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์ และอื่น ๆ  ซึ่งทางเราสามารถตรวจสอบ Security Headers ของโดเมนได้จาก https://securityheaders.com/ ว่าเว็บไซต์ของเรามีความปลอดภัยเพิ่มมากขึ้นหรือไม่

Selection_004.png

 

สาเหตุปัญหา

     ไม่มีการตั้งค่า Security Headers ให้กับโดเมนบนเครื่อง server

ทางแก้ปัญหา 

     ในส่วนนี้เราสามารถทำการตั้งค่าในระดับ Server ซึ่งจะส่งผลกับทุกโดเมนบนเครื่อง ยกตัวอย่างที่ระบบ cPanel&WHM สามารถทำได้โดยการ Login ระบบ cPanel/WHM แล้วไปที่  WHM>>Service Configuration>>Apache Configuration -> Include Editor -> PreMain Include 

Selection_007.png

 

ในที่นี้เราจะมาดูกันว่าค่า Security Headers ที่ควรเพิ่มเข้าไปมีอะไรบ้าง

X-Content-Type-Options เป็นส่วนที่ใช้ในการป้องกันการโจมตีผ่านทางช่องโหว่ MIME sniffing ซึ่งจะเกิดเมื่อ เว็บไซต์อนุญาตให้ผู้ใช้อัพโหลดเนื้อหาไปยังเซิร์ฟเวอร์ ซึ่งผู้ใช้อาจเปลี่ยนหรือซ่อนไฟล์อันตราย แล้วอัพโหลดขึ้นเซิร์ฟเวอร์ 

ตัวอย่าง

Header always set X-Content-Type-Options "nosniff"

Content-Security-Policy เป็นส่วนที่ช่วยให้การกำหนดต้นทางของเนื้อหาที่อนุญาตสำหรับเว็บไซต์ โดยการจำกัดเนื้อหาที่เบราเซอร์สามารถโหลดได้ ได้แก่ js และ css 

ตัวอย่าง

Header always set Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval'"

Strict-Transport-Security เป็น Header ที่กำหนดให้เบราเซอร์จำสถานะของ HTTPS เอาไว้แม้ว่าจะเป็นการเปิดจาก bookmark ที่เป็น HTTP ก็ตาม ก็จะถูกบังคับให้เป็น HTTPS

ตัวอย่าง

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

X-Frame-Options เป็น Header ที่จะช่วยป้องกันผู้ใช้จากการโจมตีแบบ clickjacking ที่ผู้บุกรุกสามารถโหลด iframe จากไซต์ของเขาบนไซต์ของเราได้ ซึ่งทำให้ผู้ใช้งานเว็บไซต์ของเราเชื่อว่าไม่อันตราย

ตัวอย่าง

Header always set X-Frame-Options "SAMEORIGIN"

Referrer-Policy เป็น headers รูปแบบใหม่ที่ช่วยให้เว็บไซต์สามารถควบคุมข้อมูลที่เบราว์เซอร์รวบรวมไว้พร้อมกับการอ้างอิงเอกสาร  ซึ่งทุกเว็บไซต์ควรตั้งค่านี้ไว้

ตัวอย่าง

Header always set Referrer-Policy "same-origin"

X-Xss-Protection ในส่วนนี้จะใช้กำหนดค่าการป้องกัน XSS ที่มีอยู่บนเบราเซอร์ต่างๆ โดยการตั้งค่าจะมี 0 คือ ปิดการทำงาน 1 คือเปิดการทำงาน และ 1; mode=block ซึ่งจะกำหนดให้เบราเซอร์ทำการบล็อคการกระทำใดๆ ก็ตามที่มากกว่าการล้างข้อมูลสคริปต์

ตัวอย่าง

Header always set X-Xss-Protection "1; mode=block"

Permissions-Policy ในส่วนนี้เป็น Headers รูปแบบใหม่ที่ช่วยให้เว็บไซต์สามารถควบคุมคุณลักษณะและ API ที่สามารถใช้ในเบราว์เซอร์ได้

ตัวอย่าง

Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()"


Selection_008.png

เมื่อตั้งค่าเสร็จให้ทำการ rebuild และ restart apache แล้วทำการทดสอบใหม่
Selection_005.png

 

 

หรือถ้าอยากตั้งค่า ทีละโดเมน ก็สามารถทำได้ในการตั้งค่าใน .htaccess ของแต่ล่ะโดเมนได้เหมือนกัน โดยระบุค่าตามตัวอย่างด้านล่างใน .htaccess ได้เลยครับ

Header always set X-Content-Type-Options "nosniff"
Header always set Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Xss-Protection "1; mode=block"
Header always set Referrer-Policy "same-origin"
Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()"

 

อ้างอิง :  https://scotthelme.co.uk/hardening-your-http-response-headers/#x-content-type-options

              https://scotthelme.co.uk/a-new-security-header-referrer-policy/

              https://scotthelme.co.uk/goodbye-feature-policy-and-hello-permissions-policy/

 

ขั้นตอน Install/Unistall ModSecurity Control (WHM&cPanel) Previous
การ Unsuspend Linux HostingNext

บทความในส่วนนี้

Latest Promo

Latest Promo


ประหยัดค่าใช้จ่ายอีเมลมากกว่า 30% เมื่อใช้ระบบไฮบริดอีเมล Microsoft 365 x Netway VMware
Read More

Latest News

Latest News


cPanel & WHM แจ้งปรับราคาใหม่ สำหรับปี 2025
Read More

Latest Blog

Latest Blog


Windows Server 2025 เปิดตัวแล้ว
Read More

#มีครบจบที่เดียว

Payment Channels


เงินสด       visa             MasterCard 
  Paypal    PromptPay

Delivery Services


ThailandPost
KERRY

Verified by

Copyright

ลิขสิทธิ์ © 2024 บริษัท เน็ตเวย์ คอมมูนิเคชั่น จำกัด สงวนลิขสิทธิ์ เครื่องหมายการค้าของ
บริษัท เน็ตเวย์ คอมมูนิเคชั่น จำกัด และบริษัทในเครือ ในประเทศไทย และประเทศอื่น

การใช้งานเว็บไซต์นี้เป็นไปตามเงื่อนไขที่บริษัทฯ กำหนดการใช้งานเว็บไซต์นี้ถือว่าคุณยอมรับเงื่อนไขต่างๆที่บริษัทฯ กำหนด  

Legal

Cookies    Do Not Sell    PDPA Statement    Privacy    Terms   
Domain | Hosting | Cloud & Managed | SSL | Email | Microsoft | Google | Marketing | Others | Blog | Microsoft Teams | microsoft-365-business-premium | test-slide | Order | Promo